Come posso rilevare l'ispezione HTTPS?

14

Nella mia azienda uso il mio computer per cose private come l'online banking e l'email personale durante l'ora di pranzo.

Ho sempre pensato che quando Firefox mi mostra il simbolo del lucchetto verde che è stata stabilita una connessione HTTPS valida e nessuno può origliare. Ora ho sentito che l'ispezione HTTPS può comprometterlo.

In realtà ho due domande:

  1. La mia comprensione è corretta, che per l'ispezione HTTPS la mia azienda distribuirebbe Firefox con un certificato di sicurezza "falso" in modo che possa fingere di essere il sito che in realtà volevo raggiungere e condurre un attacco man-in-the-middle?
  2. In che modo posso rilevare se la mia connessione è stata sospesa?

La mia azienda utilizza Forefront TMG come posso dire con l'icona di una barra in Windows 10.

Grazie mille in anticipo!

    
posta Perry Quint 03.04.2016 - 11:21
fonte

4 risposte

6

Se la tua azienda possiede e gestisce il tuo computer, hanno le seguenti opzioni per ispezionare le tue connessioni HTTPS:

  1. Aggiunta della loro autorità di certificazione al sistema operativo / browser archivio certificati attendibili. Ciò consentirà loro di generare validi certificati sul proxy per qualsiasi sito web al quale ti stai connettendo. Inoltre, sono persino in grado di disattivare il preload del certificato liste nel browser, permettendo così di sostituire "bene noto" certificato con uno spoofed.
  2. Possono installare software sul PC per monitorare tutto il filesystem e l'attività di rete, incluso HTTPS connessioni. Esistono molti software per la prevenzione della perdita di dati (DLP) venditori che offrono tale funzionalità. Può funzionare in modalità silenziosa, completamente invisibile all'utente. Questo software è sorprendentemente comune all'interno delle imprese.

Lo snooping della connessione sul server proxy è relativamente facile da rilevare. Il certificato del sito Web presentato per proxy sarà diverso da quello che si ottiene quando si apre il sito da casa o anche utilizzando un dispositivo mobile. Se le chiavi pubbliche e le impronte digitali dei certificati di cui sopra non corrispondono, allora è quasi certo che si verifichi un snooping della connessione (a volte ci sono validi motivi per questa mancata corrispondenza, quindi è una buona idea controllare l'intera catena di certificati nello stesso modo in questo caso ).

Se la società utilizza il software endpoint per osservare le attività dei dipendenti, rilevarli diventa più difficile, soprattutto se non si dispone dei privilegi di amministratore. Se non è in esecuzione in modalità silenziosa, è possibile consultare l'elenco dei processi in esecuzione, barra delle applicazioni o elenco dei programmi installati per verificare se sono elencati alcuni programmi dispari / sconosciuti (quindi cercare i loro nomi online). In caso di funzionamento silenzioso, il rilevamento richiederà probabilmente le competenze di rilevamento del kernel / debug del rootkit (o la richiesta di un amministratore di sistema).

    
risposta data 05.04.2016 - 17:09
fonte
1

Per rispondere alle tue domande,

  1. Sì, è esattamente come la società riesce a ottenere quel "blocco verde".

    Questo potrebbe essere diverso per altri browser, comunque. Alcuni, come Firefox, utilizzano il proprio negozio di fiducia e alcuni, come Chrome, usano quello del sistema operativo. Quindi il percorso di installazione esatto del certificato potrebbe essere quello su cui si sbaglia.

    In generale, sì, è così che funziona.

  2. Utilizza un sito web come ssl labs che ti dà il certificato che ricevono per l'host.

    Quindi controlla se è lo stesso certificato vero e proprio. Se lo è, non c'è nessun MITM in corso.

    Suggerimento semplice: la maggior parte delle volte il certificato non ha solo un'altra impronta digitale, ma diverse altre proprietà, quindi potrebbe essere un posto facile. Ma potrebbe essere, differiscono solo per le impronte digitali.

risposta data 03.04.2016 - 11:36
fonte
1

Ci sono un paio di cose interessanti da guardare. In primo luogo, basta guardare il certificato - non verrà formata un'autorità di certificazione nota. Questo è visibile (firefox, Windows) facendo clic sulla freccia a destra dopo aver fatto clic sul lucchetto verde. Per esempio. Facebook dice "Digicert".

Una volta che hai visto uno o due certificati generati da TMG, li identificherai facilmente.

La seconda cosa da notare è che alcuni siti sono difficili da MiTM a causa del "blocco dei certificati". Ciò dipende dal fatto che il browser abbia precaricato un certificato e non accetterà un "falso". Non molto sensato per ogni sito su Internet - ma google, twitter e pochi altri lo fanno. Chrome non esegue il pin per la CA locale, per consentire il MITM "aziendale", ma previene le CA compromesse. Firefox ha un'impostazione per determinare cosa consentire.

Per essere onesti, queste difese del browser non sono molto utili contro il MiTM aziendale, perché se il tuo browser rifiuta di prendere un certificato falso, sarai comunque bloccato dal sito.

La maggior parte dei "buoni" filtri web (e alcuni cattivi) consentono all'amministratore di escludere alcuni siti da MiTM. Ad esempio, Smoothwall viene fornito con valori predefiniti che escludono il banking online per motivi di privacy. Altri siti potrebbero essere esclusi perché non funzionano bene con MiTM.

Il mio consiglio è parlare con il tuo amministratore. Se non vogliono girare MiTM per il settore bancario, penso che sia abbastanza irragionevole (a mio avviso come ex dipendente della società di filtri web). O vogliono lasciarti fare le tue operazioni bancarie, o loro no. Non è qualcosa in cui è probabile che il malware si diffonda o che gli utenti possano abusare. Facebook e l'e-mail personale d'altra parte sono aree più grigie.

L'ultima cosa da ricordare: per ottenere una "block page" su un sito HTTPS (anche se bloccato da un dominio) è necessario il MiTM, quindi potresti vedere alcuni MiTM che ti chiedi perché è successo se stavano andando per bloccare la pagina comunque - è perché l'alternativa sarebbe un errore del browser meno informativo.

    
risposta data 03.04.2016 - 12:59
fonte
0

Queste sono tutte buone risposte quindi non andrò avanti e dirò come "sì, è possibile e viene fatto in molte organizzazioni in tutto il mondo". Quello che volevo dire è che l'ispezione HTTPS è (generalmente) fatta NON per spiarti ma per garantire che il traffico che attraversa la loro rete sia legittimo e sicuro. Vogliono assicurarsi che tu stia facendo le tue operazioni bancarie durante l'ora di pranzo e non i segreti delle società che filtrano i malware.

Inoltre, dovresti sapere che l'ispezione HTTPS richiede un uso intensivo della CPU e la prassi generale è quella di decifrare solo un po 'del traffico iniziale. Una volta che il traffico è stato ritenuto legittimo, non viene eseguita alcuna ulteriore decodifica. Ora ... per favore ricorda anche che ho detto "pratica generale" ... perché è assolutamente possibile per loro decrittografare l'intera sessione. Tuttavia, è anche possibile installare sul tuo computer keylogger / software di cattura dello schermo e questa opzione sarebbe probabilmente più semplice e molto meno costosa.

    
risposta data 05.04.2016 - 20:45
fonte

Leggi altre domande sui tag